数据合规性是指以遵守涉及数据安全和隐私的监管要求、行业标准和内部政策的方式处理和管理个人和敏感数据的行为。

数据合规标准可能因行业、地区和国家而异，但通常涉及类似的目标。这些目标可能包括：

• 确保数据准确性

• 为个人提供透明度并了解其数据权利

• 保护个人数据和信用卡信息等敏感信息免遭未经授权的访问或 数据泄露

• 跟踪数据存储，包括组织存储的数据类型、存储量以及整个生命周期的管理方式

一些最常见的数据合规性法规包括《通用数据保护条例》(GDPR)、《健康保险流通与责任法案》(HIPAA) 和《加州消费者隐私法案》(CCPA)。

不遵守这些法规可能会增加 网络安全 风险，并使组织遭受巨额罚款、法律处罚和声誉损害。因此，数据合规性通常被认为是组织整体 数据治理 和 风险管理 策略的关键组成部分。

数据合规性有时被错误地称为数据安全合规性，这是数据合规性的一个密切相关但技术上较小的子集。

数据合规性涵盖了组织在处理数据时必须遵守的更广泛的规则和法规，而数据安全合规性则特别关注管理数据的安全方面，包括通过实施数据安全解决方案来保护数据免受未经授权的访问、破坏和其他安全威胁，例如加密、访问控制、防火墙、安全审计等等。

换句话说，数据合规性包括数据安全合规性的所有方面，而数据安全合规性并不包括数据合规性的所有方面。

要了解数据合规性的重要性，请考虑我们的大数据时代。每当有人手持智能手机点击屏幕、浏览网站或在街上漫步时，他们都会留下越来越多的个人数据痕迹。

与此同时，组织正在转向云服务和数字应用程序，作为其数字化转型的一部分，并积累不断增加的数据集。毫不奇怪，所有这些数据对组织来说都非常有价值，可以帮助他们将数据转化为见解，从而做出更好的业务决策。

然而，更多的数据也意味着更多的漏洞和更大的网络攻击面。根据 IBM 的数据泄露成本报告，2023 年全球数据泄露的平均成本为 445 万美元— 三年内增长了 15%。数据合规性有助于减轻这些威胁并保证客户数据的安全。它建立了一组组织和个人在处理数据时必须遵循的控制措施或数据合规标准。

这些合规性要求的目的是建立保护数据隐私和防止数据滥用的保障措施。数据合规性还可以帮助组织和个人制定政策和程序，以更负责任地处理数据。

由于有这些好处，组织通常会自愿且主动地投资于数据合规性，而不仅仅是出于必要。组织认识到数据合规性可以帮助他们培养客户信任并建立作为透明、负责任的个人数据管理者的声誉。

更重要的是，数据合规性通常可以帮助企业提高安全性并提高效率和盈利能力。通过制定强有力的数据合规性标准，公司可以更有效地修复导致数据泄露风险更大的漏洞。

此外，拥有强大的数据合规计划不仅可以保证数据安全，还可以确保数据安全。它还可以保持准确性并减少代价高昂的错误。通过有效的数据管理，组织不仅可以减少在数据发现和纠正上花费的时间和资源，而且可以更加高效、灵活地挖掘自己的数据集以获得见解。

许多组织还发现，拥有强大的数据合规计划可以更轻松地跟上数据保护合规标准，这些标准的更新比过去更频繁。这些标准包括 SOC 2、CSA STAR、ISO 27001、美国国家标准与技术研究院 (NIST) 800-53 等。

随着政府和其他实体继续关注数据安全，公司必须满足越来越多的隐私法规和数据合规标准才能与目标客户开展业务。

《健康保险流通与责任法案》（HIPAA）是美国于1996年通过的一项重要立法。它为医疗保健实体和企业如何处理患者的个人健康信息（PHI）制定了指导方针，以保证其机密性和安全性。

根据 HIPAA 的定义，所有属于“受保实体”类别的实体都必须遵守 HIPAA 数据安全和合规标准。这些实体不仅包括医疗保健提供商和保险计划，还包括有权访问 PHI 的业务伙伴，包括数据传输服务提供商、医疗转录服务提供商、软件公司、保险公司等。

《通用数据保护条例》（GDPR）是欧盟为保护其公民的个人信息而制定的全面数据隐私框架。

GDPR 主要关注个人身份信息 (PII)，并对数据提供商提出严格的合规性要求。它要求欧洲境内外的组织对其数据收集实践保持透明，从而使个人能够更好地控制其 PII。

GDPR 最引人注目的方面之一是其对违规行为的毫不妥协的立场。它对那些不遵守其隐私法规和数据合规标准的人处以巨额罚款。这些罚款最高可达组织全球年营业额的 4% 或 2000 万欧元，以较高者为准。

因此，GDPR 促使全球企业重新评估其数据收集和处理实践，强调强大的数据安全性和合规性的重要性。

《加州消费者隐私法案》(CCPA)是美国具有里程碑意义的数据隐私法，类似于 GDPR。

与 GDPR 一样，它也让企业有责任对其数据实践保持透明，并赋予个人对其个人信息有更多控制权。根据 CCPA，加州居民可以索取有关企业收集的数据的详细信息、选择退出数据销售以及请求删除数据。

然而，与 GDPR 不同的是，CCPA 以及许多其他美国数据保护法是选择退出而不是选择加入，这意味着企业可以在加利福尼亚州使用消费者信息，除非另有明确说明。 CCPA 还仅适用于超过特定年收入阈值或处理大量个人数据的公司，这使其与许多（尽管不是全部）加州企业相关。

自CCPA生效以来，各组织积极重新评估其数据处理流程，并采用全面的数据保护策略以满足合规性要求。

《萨班斯-奥克斯利法案》(SOX)是一项针对安然和世通等公司丑闻而颁布的立法。其主要目标是提高企业透明度和问责制。根据 SOX 规定，美国的每家上市公司都必须满足严格的财务报告和治理标准。

SOX 的一些最重要的条款包括要求首席执行官和首席财务官亲自证明财务报表的准确性以及建立独立审计委员会。SOX 还引入了严格的内部控制措施，以确保财务数据的可靠性，同时大幅增加对企业不当行为和欺诈的处罚。

尽管 SOX 主要涉及财务报告，但它仍然是重要的合规性考虑因素，IT 组织必须意识到这一点，以确保准确、及时的财务报告。

支付卡行业数据安全标准 (PCI-DSS) 是一套保护信用卡数据的监管指南。与政府实施的法规不同，PCI-DSS 包含由独立监管机构（称为支付卡行业安全标准委员会）强制执行的合同承诺。

PCI-DSS 适用于任何处理持卡人数据的业务，无论是通过接受、存储还是传输。即使信用卡交易涉及第三方服务，公司仍然对 PCI-DSS 合规性负责，并且必须采取必要措施来安全地管理和存储持卡人数据。

以下步骤可以帮助组织建立强大的数据合规计划，以满足合规性要求并保护敏感信息。

其中许多行动是组织可以立即采取的行动，而其他行动则需要长期规划。

希望通过适当的规划和重点，组织不仅可以满足数据合规标准并确保数据隐私，还可以加强整体信息安全，更有效地保护自己及其客户免受数据泄露、数据滥用和其他形式的侵害未经授权的访问。

*文章整理于www.ibm.com，由隐私合规交流圈 隐小私整理，转发请备注出处

*整理编辑：A隐小私(yinxiaosi00)